Viisi viisasta vinkkiä tietoturvaohjeen luontiin
Tietoturvaohjeen luominen on usein laiminlyöty pk-yrityksissä. Olen työssäni huomannut, että monen pienen ja keskikokoisen yrityksen johto ei ole jalkauttanut pelisääntöjä tietoturvasta henkilöstölle tai kumppaneille tietoturvaohjeen muodossa. Joskus tietoturvaohje puolestaan on hyvin vanhentunutta tai geneeristä tekstiä, eikä näin ollen anna henkilöstölle ohjeita siitä kuinka omalla toiminnallaan varmistetaan yrityksen tietoturvallisuus.
Tietoturvaohjeen kirjoittaminen ja sen lanseeraus vaatii tietoa yritykseen kohdistuvista tietoturvauhista. Moni yritys on jättänyt tietoturvaohjeen tekemättä, koska yrityksessä ei tiedetä mitä kaikkea henkilöstölle tulisi ohjeistaa. Tässä alla muutama vinkki, josta työ kannattaa aloittaa!
1. Tietoturvaohje ennaltaehkäisee tietojenkalastelua selkeillä ohjeilla
Yrityksen pilvipalveluiden käyttäjätileihin kohdistuva tietojenkalastelu on valitettavasti kasvanut valtavasti. Viime vuosina yritysten suosimat pilvipalvelut kuten Microsoft 365, Google G-Suite ja Dropbox ovat olleet jatkuvasti kohdennetun tietojenkalastelun kohteena sähköpostitse. Tietojenkalastelijat ovat siirtyneet kalastelemaan tietoja viimeisen vuoden aikana kiihtyvään tahtiin myös puhelimitse.
Tavoitteena rikollisilla on tietojenkalastelussa saada käyttäjätunnuksia käyttöönsä ja hyödyntää näitä tunnuksia rikollisiin tarkoituksiin. Kalastellut käyttäjätunnukset mahdollistavat niin yrityksen kiristämisen (esimerkiksi salaamalla yhteiset tiedostot) kuin myös valelaskujen lähettämisen kaapatulla sähköpostitilillä yrityksen nimissä asiakkaille rikollisten pankkitilille.
Tietoturvaohjeessa kannattaa ohjeistaa henkilöstö tunnistamaan tietojenkalastelu ja säilyttää terve epäilys aina kun joku kysyy tietoja ympäristöstänne. Hyvänä ohjenuorana on, että omia tunnuksia ei koskaan pidä luovuttaa kenellekään eikä sähköpostissa tuleviin kirjautumislinkkeihin luottaa.
Henkilöstön tulisi myös tietää kenen puoleen heidän kannattaa kääntyä epäselvissä tapauksissa. Tämän tahon puoleen tulee kääntyä, jos käyttäjä havaitsee tietoturvapoikkeamia, kuten ilmoituksia epäilyttävistä kirjautumisista tai virusilmoituksia tietoturvaohjelmista. Osa näistä ilmoituksista saattaa myös olla tietojenkalasteluviestejä.
2. Tietoturvaohje ohjaa käyttäjät monivaiheiseen todennukseen
Jos kuitenkin kävisi niin, että tunnukset olisivat päätyneet vääriin käsiin suojaisi vahva monivaiheinen todennus käyttäjätiliä internetin yli kirjautuvilta rikollisilta.
Ohjeista aina käyttäjiä aktivoimaan palveluihin monivaiheinen todennus silloin, kun se on käyttäjän omalla vastuulla.
Monivaiheinen todennus (engl. Multi Factor Authentication, MFA) mahdollistaa perinteisen käyttäjätunnus-salasanayhdistelmän lisäksi tehtävän lisätarkistuksen. Lisätarkistuksen vaihtoehdot ovat esimerkiksi:
- kertakäyttöinen numerokoodi puhelulla
- kertakäyttöinen numerokoodi tekstiviestillä
- hyväksyntä mobiilisovelluksella (esim. Microsoft Authenticator / Google Authenticator)
- kertakäyttöinen numerokoodi mobiilisovelluksella
Lue monivaiheisesta tunnistautumisesta lisää täältä.
3. Tietoturvaohje varmistaa, että tietojen salausta osataan käyttää
Mieti onko organisaationne käytössä keskitetty hallinta salausratkaisuihin kuten lähtevien sähköpostien ja kiintolevyjen hallintaan. Lähtevien sähköpostien osalta ratkaisut edellyttävät usein loppukäyttäjien toimenpiteitä kuten lähettäjän valintaa sen osalta salataanko sähköposti.
Tietääkö henkilöstönne mitkä sähköpostit ja liitetiedostot tulisi salata? Entä tietävätkö käyttäjät miten salatun sähköpostin vastaanottajan tulee toimia, jos heillä on ongelmia avata salattu sähköposti liitetiedostoineen?
Toinen yleinen tietoturvapoikkeama, mihin kannattaa tietoturvaohjeessa ottaa kantaa on se, että päätelaitteita, kuten sähköposteja ja tiedostoja sisältäviä puhelimia ja kannettavia tietokoneita, saattaa päätyä vääriin käsiin. Tällöin organisaation kannalta on tärkeää, että kiintolevyn salausratkaisut on hoidettu ja käyttäjä osaa tunnistaa salaamattomat päätelaitteet. Windows-koneelta salauksen toiminnan voi laittaa päälle näin.
4. Tietoturvaohje opastaa vanhojen laitteiden poistoon käytöstä ja tietojen tuhoamisen
Monessa pienessä ja keskikokoisessa organisaatiossa annetaan työkäyttöön hankittuja ja sittemmin yrityskäytöstä poistuneita työasemia käyttäjien henkilökohtaiseen käyttöön. Usein tilanne on myös se, että työsuhteen päättyessä työntekijä voi lunastaa vanhan työasemansa omaan henkilökohtaiseen käyttöönsä.
Joskus taas yrityksessä on luultu, että viallisten tai käytöstä poistuneiden työasemien luottamukselliset tiedot on hävitetty tietoturvallisesti ja käytäntöjen tarkempi tarkastelu on osoittanut, että pelkästään käyttäjäprofiili on poistettu käyttöjärjestelmästä tai käyttöjärjestelmän sisältämä levyosio olisi vain formatoitu ja tiedot ovat tällöin olleet kovalevyltä vielä luettavissa.
Näissä tapauksissa on yrityksessä hyvä olla yhteiset pelisäännöt, jolla yritys voi varmistaa, että missään tapauksessa yrityksen tieto-omaisuutta ei päädy vääriin käsiin vaan työasemalla olleet tiedot puhdistetaan tietoturvallisesti ennen työaseman käyttöjärjestelmän uudelleenasennusta. Tällöin käyttäjille on ohjeistettu, että työasemien ja puhelimien tiedot poistetaan niin ettei niitä pysty palauttamaan ohjelmallisesti.
5. Älä unohda koulutusta tietoturvasta ja tietosuojasta
Tietoturvaohjeen luominen tai päivittämisen jälkeen, kannattaa ohje lanseerata koulutuksen kautta henkilöstölle. Koulutuksessa kouluttaja pystyy kertomaan tosielämän tarinoiden avulla, miksi käyttäjiltä vaaditaan tietoturvallista toimintaa. Saamamme palautteen perusteella tämä toimii huomattavasti paremmin kuin pelkkä tietoturvaohjeen lanseeraus ilman koulutusta.
Koulutus voidaan järjestää niin, että se nauhoitetaan. Tällöin yritykselle jää tallenne hyödynnettäväksi, kun uusia henkilöjä aloittaa työsuhteessa.
Tietoturvakoulutus kannattaa räätälöidä niin, että siinä on käsitelty organisaation kannalta olennaiset asia. Jollekin organisaatiolle sähköpostin tietoturvallinen käyttö saattaa olla kaikki kaikessa. Toiselle organisaatiolle saattaa tärkeää olla se, kuinka asiakkailta kerättyjä henkilötietoja käsitellään internet-selaimella ja kolmannelle organisaatiolle tärkeää saattaa olla se, miten kiinteistön turvajärjestelmien tallentamia tietoja turvataan.
Jos tietoturvaohjeen luominen ja sen lanseeraaminen kuulostaa vaivalloiselta, olemme tuotteistaneet teille valmiin palvelutuotteen aiheeseen. Lue lisää tieoturvakoulutuksistamme ja tietoturvaohjeen luonnista palvelusivustoltamme.
Kirjoittaja:
Ville Soikkola
Toimitusjohtaja
Ville on kokenut tietotyön tehostaja ja Microsoft-tuottavuustyökalujen osaaja.